电子商务安全相关知识

.电子商务安全到了越来越广泛的应用，越来越多的企业和个人用户依赖于电子商务的快捷、高效。但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，在这样的情况下，安全性问题成为首要问题。本文首先论述电子商务安全，介绍电子商务安全的现状，分析电子商务安全存在的主要问题，然后从网络安全技术、数据加密技术、用户认证技术等方面介绍主要的电子安全技术，从而更好的了解电子商务安全的现状及未来的发展趋势。【关键词】电子商务安全、安全技术tofnetworkofcarrier,alotofimportantidentityinformation,accountinginformation,transactioninformationneedsintheInternetemainproblemThispaperfirstdiscussese-commercesecurity,introducee-commercesecurity,thestatusquoande-commercesecurity,themainproblemsuserauthenticationtechnologyintroducedmainaspectsofelectronicsafetytechniques,andbetterunderstandingofe-commercesecuritysituationandfuturedevelopmenttrend.[Keywords]e-commercesecurity,safetytechnology引言随着Internet技术的迅速发展和深入应用，以Internet作为交易平台的电子商务正逐步得到人们的认同和接受。而电子商务是在国际化、社会化、开放化和个性化的Internet.环境中运作的，它的应用可能会出现金融欺诈，市场/竞争价格等秘密信息的泄露，以及缺乏可信性而导致的商机丢失等诸如此类的安全与信任问题。二、电子商务安全概述及现状信息技术日新月异的发展，人类正在进入以网络为主的信息时代，越来越多的人通过Internet进行商务活动，电子商务的前景十分诱人，但随之而来的安全问题也变得越来越突出。【案例】华硕官方遭黑客攻击公司被迫关闭服务器2007·4·7ExploitPreventionLabs的首席技术官罗杰-汤姆森(RogerThompson)透露，该攻击代码隐藏在主页的一个HTML元素中，并试图从另一台服务器上下载恶意代码。截止周五下午，这台服务器已经停止工作，虽然黑客们还可转移攻击目标，不过此次攻击的危险性已经下降。4月6日据外电报道电脑零部件生产商华硕的遭到黑客攻击，黑客利用本周才修复的一sExploitPreventionLabs的首席技术官罗杰-汤姆森(RogerThompson)透露，该攻击代码隐藏在主页的一个HTML元素中，并试图从另一台服务器上下载恶意代码。截止周五下午，这台服务器已经停止工作，虽然黑客们还可转移攻击目标，不过此次攻击的危险性已经下降。华硕的营销经理大卫-雷(DavidRay)不能证实是否被黑，只称公司的看起来没有受到威装了补丁前如果用户访问了华硕，可能会危及电脑的安全。KasperskyLab也证实了华硕被黑，同时证实被黑客利用的在周五都已关闭，黑客们无法下载恶意代码。汤姆森认为，华硕的被黑显示出，即使是人们信赖的也可能存在安全隐患。他表示，如果像华硕这样的大公司都能被黑并感染上病毒，其他可想而知。[1]案例告诉我们，网络的普及也带来了安全问题的升级，而电子商务将在虚拟的网络环境下实施，因此电子商务活动的安全与否就成为影响其发展的重要因素。据权威调查表明，目前果类企业发展电子商务的最大顾虑也是网上交易的安全问题。Internet之所以能发展成为今天的全球性网络，主要是依赖于它的开放性。但是，这种开放式的信息交换方式使网络安全具有很大的脆弱性，要保证电子商务的正常运作就，必须高度重视安全问题。安全得不到保障，即使使用Internet再方便，电子商务也无法得到广大用户的认可。因此如何建立一个安全，便捷的电子商务应用环境，保证整个商务过程中的信息安全性，使基于Internet的电子商务交易方式与传统交易方式一样安全可靠，已经成为电子商务应用中所关注的重要技术问题。[2]三、电子商务安全体系和结构 (一)电子商务安全体系安全电子商务系统通过Internet将商家、客户和银行三方连接起来，使用安全代理服务器和CA认证系统等实现电子商务交易数据的性、完整性、不可抵赖性等安全功能。从技术角度上说，电子商务系统的安全就是保障计算机信息系统的安全。主要由以下三个部分组成：.系统实体安全是指保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾等环境事故的破坏。具体包括环境安全、设备安全、媒体安全三个方面。其中环境安全是指对电子商务系统所在的环境进行保护，主要包括受灾防护和特定区域的防护；设备安全是指对电子商务系统的设备进行安全保护，主要包括防盗、防毁、防止电磁信息泄露、防止线路截获、炕电磁干扰和电磁保护等；媒体安全是指对媒体数据和媒体本身实施保护，包括防止媒体被毁、防止媒体数据被非法复制、意外事故破坏等等可能使媒体数据丢失的行为。系统运行的安全是指保障电子商务系统功能的安全实现，提供一套安全措施保护信息处理过程的安全。具体包括风险分析、审计跟踪、备份与恢复、应急措施等。信息安全是指防止信息财产被故意或偶然地非授权泄露、更改、破坏，或使信息被非法的系统辨识、控制，即信息安全就是要确保信息的完整性、性、可用性和可控性。信息安全体系具体包括操作系统的安全、数据库的安全、网络问题、病毒防护安全、访问控制安全、加密、鉴别等。 (二)一个实用的安全电子商务系统必须有机集成现代计算码学、信息安全技术、网络安全技术和电子商务安全支付技术等。——电子商务安全的体系结构[2]由上图可知基于健全的计算机网络系统和如上所述的数据加密、认证以及网络安全技术，在安全的支付机制和交易协议支持下，一个完整、安全的电子商务系统就能够建立起来，并可以安全地应用和服务于社会，造福人类。四、电子商务安全技术.电子商务基本的安全技术主要有加密技术、认证技术、安全电子交易协议、黑客防技术、虚拟专网技术和反病毒技术。 (一)加密技术所谓“加密”，简单地说就是，使用数学的方法将原始信息(明文)重新组织与变换成只有授权用户才能解读的密码形式(密文)，而“解密”就是将密文重新恢复成明文的过程。可以说，加密技术是认证技术及其他许多安全技术的基础，也是信息安全的核心技术。信息加密技术主要是对传输中的信息进行加密，从而达到隐藏信息容，使非法用户无法获取真实信息的一种技术手段，其目的是确保数据的性。基于加密解密所使用的密钥是否相同，可分为对称加密和非对称加密两类。对称加密的加密密钥和解密密钥相同，即在发送方和接收方进行安全通信前，商定的一个密钥，用这个密钥对传输数据进行加密和解密。对称加密的突出特点是加密解密的速度快，效率高，适合对大量数据进行加密。若和大量用户通信时难，以安全管理大量密钥。绍其原理。初始密码(初始密码(64位)移位变换子密码乘积变换密文(64位)明文(64位)移位变换移位变换加解密过程如下：B的公钥B的公钥 (1)发送方用自己的私密密钥加密要发送的信息。 (2)加密后的信息通过网络传送给接收方。 (3)接收方用发送方的加密密钥对收到的加密信息解密得到信息明文。整个加密过程如图所示：密钥(发送方)密钥(发送方)=密钥(接明文密文Internet密文明文解密加密密钥(接收方)发送方接收方对称加解密系统为了解决对称密码体制的密钥分配问题，以及满足对数字签名的需求，非对称密码应运而生，也叫公钥加密体系。在这种密码体制下，人们把加密过程和解密过程设计成不同的途径。非对称密码系统的出现成功的解决了对称密码系统中的密钥管理问题。通常都是用模型来解释公钥密码系统的思想。代表公钥，每个人都可以向其中投放信件。而只有的主人才有的钥匙—四要，用来打开并取出信件。非对称密码加密体制有两种模型：一种是加密墨香，即采用接收方公钥加密数据，而用两者原理相同，但用途不同。 (1)接收方公钥加密，接收方私钥解密的加密模型如图这种以接收方公钥加密原文，以接收方私钥来解密的非对称密码算法，可以实现多个用户加密信息只能由一个用户解读，这就实现了通信。BB的私钥.加密模型 (2)发送方私钥加密，发送方解密的验证模型如图所示。这种以发送方私钥加密原文，发送方公钥解密的非对称密码算法，可以实现由一个用户加密的信息，而由多个用户解读，这就是数字签名的原理。AA的公钥文B解密A的私钥A加密认证模型 (二)认证技术认证是防止主动攻击的重要技术，对于开放环境中的各种信息系统的安全性有重要的作用。认证的主要技术是：第一，验证信息的发送者是真的，此为实体认证也称身份认证；第二，验证信息的完整性，此为信息认证也称报文认证。目前，在电子商务中广泛使用的认证方法和手段主要有数字签名、数字摘要、数字证书、CA安全认证体系，以及其他一些身份认证技术和报文认证技术。以下以数字摘要和数字签名为重点介绍。 (1)数字摘要数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码。这一串摘要码亦称为数字指纹，有固定的长度，不同的消息其摘要不同，相同消息其摘要相同。[4] (2)数字签名所谓数字签名就是附加在信息单元上的一些数据，或是对信息单元所作的密码变换，这种数据或密码变换允许接收者确认消息的来源和信息单元的完整性并保护数据防止他人伪造。数字签名的实现方式是把信息摘要和公开密钥算法结合起来。发送方从报文文本中生成数字摘要，并用自己的私有密钥对摘要进行加密，形成发送方的数字签名，然后将文字作为保温的和报文一起发送给接收方；接收方首相从接收到的原始报文中计算出数字摘要，接着.再用发送方的公开密钥来对报文附加的数字签名进行解密。若两个摘要相同，则接收方能确认该数字签名是发送方的。数字签名的过程如下图所示：发送方私钥加密发送方私钥加密A摘通过通过件接收方发送方公钥解密发送方数字签名发送方公钥解密A摘要消息B摘要相同 相同 (三)安全电子交易协相同信息改动目前电子商务中有多种安全体制可以保证电子商务交易的安全性，其中SLL和SET是电子商T能。两者的功能不尽相同，更加全面的确保电子交易的安全。taobao选购物，亚洲最大购物，由全球最佳B2B平台阿里巴巴公.司投资4．5亿创办，致力于成就全球首选购物。淘宝是多用户商城，区别于七美网http：／／．7my．cn等。自2003年5月10日成立以来，淘宝网基于诚信为本的准则，从零做起，在短短的2年时间，迅速成为国网络购物市场的第一名，占据了中国网络购物70％左右的市场份额，创造了互联网企业发展的奇迹。中国网购整体市场总量。根据Alexa的评测，淘宝网为中国访问量最大的电子商务，居于全不淘，信不能弃。”淘宝网是C2C(客户对客户的)个人交易网上平台，是国较大的拍卖，由阿里巴巴公司投资创办。淘宝的商品数目在近几年有了明显的增加，从汽车、电脑到服饰、家居用品，分类齐全，更设置了网络游戏装备交易区。作为拍卖，淘宝突出的一点是，如果商品的剩余时间在1小时以，时间的显示是动态的，并且准确显示到了秒。与易趣不同的是，会员在交易过程中感觉到轻松活泼的家庭式文化氛围。会员注册之后淘宝网和淘宝旺旺的会员名将通用，如果用户进入某一店铺，正好店主也在线的话，会出现“掌柜在线”的图标，可与店主及时地发送、接收消息。两种认证需要提交的资料不一样，个人用户认证只需提供明，商家认证还需提供营业执照，而且一个人不能同时申请两种认证。这方面可以看出淘宝在规商家方面所作出的努力。淘宝同样引入了信用评价体系，点击还可查看该卖家以往所得到的信用评价。对于买卖双方在支付环节上的交易安全问题，淘宝推出了名为“支付宝”的付款发货方式，以此来降低交易的风险。支付宝特别适用于电脑、手机、首饰及其它单价较高的物品交易或者一切希望对安全更有保障的交易。在淘宝使用支付宝目前是免费的。当用户支付商品货款的时候，通过淘宝的工行接口付款，用户不用负担汇费。[5]由上述案例可知，电子商务安全问题已引起越来越多的人关注，对于电子商务行业来说，未来的发展前景十分好，但由于电子商务安全发展的相对较慢，电子商务安全问题越来越成为限制电子商务发展的瓶颈，如何在当今局势下更好地去发展电子商务行业，使之不断地走向成熟成为备受关注的问题。五、电子商务未来发展趋势 (一